06
/04
Корпоративна безпека бізнесу, для чого вона потрібна або чи потрібна вона взагалі бізнесу?
Корпоративна безпека - останнім часом ми все частіше про це чуємо на самих різних рівнях: безнес-форумах, конференціях, в соціальних мережах, ЗМІ і т.д. Чому так відбувається? Відповідь очевидна - сьогодні дуже швидко змінюється середовище ведення бізнесу як внутрішня, так і зовнішня, а також регулярними стали кібер-атаки не тільки на приватні компанії, а й на цілі державні інституції. Весь світ стає більш глобальним, і конкуренція йде буквально по всіх фронтах: персонал, інформація, ідеї, технології, ринки збуту, ресурси, фінанси і т.д. Чого тільки вартий міжнародний скандал про можливе втручання РФ у президентські вибори в США. Ще один резонансний приклад вже ближче до українських реалій: це кібер-атака вірусом Petyа, що сталась в червні, в результаті якої, за оцінками експертів, тільки українській державі і бізнесу було завдано збитків на кілька мільярдів гривень. На жаль, багато українських підприємців поки далекі від розуміння того, що розумна побудова корпоративної безпеки повинна відбуватись одночасно з запуском самого бізнесу. Які можуть бути негативні наслідки для бізнесу, якщо не побудувати ефективну корпоративну безпеку, розглянемо на прикладі декількох кейсів з життя. Наприклад, в компанії Y працює нелояльний співробітник (або його завербували конкуренти, правоохоронні органи, спецслужби іноземних держав і т.д.) і цей співробітник краде у компанії PST-файл з електронною поштою. Після чого він шляхом не самих технічно складних фальсифікацій і маніпуляцій вносить безліч змін в метадані вкраденого PST-файлу і листування співробітників компанії. Всі напевно пам'ятають знаменитий вислів з комою «Стратити не можна, помилувати» або «Стратити, не можна помилувати», різниця в сенсі колосальна, а це всього лише одна кома. Адже насправді в електронній пошті може містяться і комерційна інформація, і конфіденційна, і інформація особистого характеру, і навіть яка компрометує, а якщо це все «прикрасити» парою сотень сфальсифікованих, компрометуючих компанію і її співробітників листів, можна спокійно починати шантажувати її або просто відразу нанести компанії значної шкоди, відправивши такий файл потрібному адресату (конкуренту, відповідним органам, ЗМІ, інше). Збиток може бути найрізноманітнішим, але в кінцевому підсумку він зазвичай призводить до дуже серйозних фінансових втрат для бізнесу. Або ще один випадок з практики. З ключовим співробітником (керівником напряму) компанії не підписується угода, в якій він бере на себе зобов'язання після звільнення протягом якогось часу (мінімум 12 місяців) не конкурувати зі своєю компанією, не наймати до себе на роботу її співробітників, не працювати з її клієнтами і т.д., а в разі порушення цих зобов'язань, він буде нести матеріальну відповідальність перед компанією. Якими можуть бути наслідки, якщо не підписати таку угоду про не конкуренцію? Співробітник йде, а через кілька місяців виявляється, що у нього вже була зареєстрована своя компанія, на яку він скидав контракти з клієнтами, яких він супроводжував, працюючи в компанії, але ж це були клієнти компанії, в якій він працював (її актив), а ще через місяць переманює до себе потрібних йому співробітників компанії, в якій він працював (також актив компанії) і в такий спосіб може забрати з собою цілий напрям бізнесу, яке ще сьогодні приносив власникам прибуток. Ще один приклад, як легко нашкодити порядному бізнесмену, якщо немає корпоративної безпеки. Під порядного і законослухняного бізнесмена, якого хочуть «РОЗВЕСТИ» на гроші або взагалі відібрати бізнес виставляється контрагент, за загальними ознаками нормальна компанія, а по факту - це компанія, яка працює або має ділові зв'язки з компаніями з ДНР або ЛНР. І ось так, належно не перевіривши свого контрагента, нормальний підприємець, його топ-менеджмент можуть стати посібниками тероризму з усіма наслідками, що випливають на бізнес. І це якщо дуже коротко. Прикладів, коли у великих і системних компаніях не була правильно побудована система корпоративної безпеки і такий бізнес поніс різної тяжкості збитки, можна навести ще чимало, і це не тільки серед вітчизняних компаній, а й серед найбільших і відомих компаній світу. Зараз розгорається скандал про незаконну передачу третім особам компанією Facebook особистих даних 50 мільйонів своїх користувачів. За оцінками фінансистів, це вже призвело до втрати у вартості акцій Facebook із зниженням їх на десятки мільярдів доларів. Якими ж будуть фінальні наслідки цього скандалу для Facebook, ми можемо лише припускати. Звичайно, ми з вами розуміємо, що в таких компаніях, як Facebook, система корпоративної безпеки, напевно, побудована на найвищому рівні, але в той же час в ЗМІ є інформація, що їх Директор з корпоративної безпеки не був звільнений, а сам подав у відставку через ігнорування Компанією його рекомендацій і інструкцій, що призвело до таких наслідків. Тому не менш важливо не тільки побудувати систему корпоративної безпеки, але і слідувати їй. Хтось, можливо, скаже, що корпоративна безпека - це дорого, а ваші фінансові можливості обмежені. На що я відповім цитатою відомого індійського мислителя і творця вчення Інтегральна йога Шрі Ауробіндо: «Якщо перед тобою велика мета, а можливості твої обмежені, - все одно дій; бо тільки через дію можуть зрости твої можливості». Якщо я переконав вас замислитись про необхідність побудувати у себе в компанії ефективну систему корпоративної безпеки, давайте розберемося з чого почати. Для початку потрібно визначити об'єкт забезпечення безпеки. Об'єктами можуть бути: 1. фінансові кошти; 2. персонал; 3. репутація власників, топ-менеджменту та самої компанії; 4. активи; 5. технології та бізнес процеси. Також при побудові корпоративної безпеки не менш важливо розуміти, які є типи загроз. Умовно їх можна розділити на чотири основні типи: 1. Постійні. 2. Тимчасові. 3. Зовнішні. 4. Внутрішні. І так, якщо ми визначилися, що нам важливо захистити і від яких загроз, наступним кроком потрібно визначитися, хто буде будувати в нашій компанії систему корпоративної безпеки. Перший варіант - забезпеченням безпеки займається керівництво компанії або створений в компанії комітет або рада з безпеки. Другий варіант - забезпеченням безпеки займається зовнішня організація (аутсорсинг безпеки). Третій варіант - змішаний варіант з двох перерахованих вище варіантів. Кожен підприємець повинен сам вирішити, який із варіантів забезпечення безпеки йому найбільше прийнятний і такий, що дасть необхідний результат, виходячи з цілого ряду факторів, таких як: об'єкти забезпечення безпеки, його внутрішній кадровий потенціал, фінансові можливості, масштабність корпоративної безпеки та інше. На мій погляд, досить розумним для бізнесу є змішаний варіант, коли частина питань з безпеки замикається всередині компанії, а частина віддається на аутсорсинг. Логічним виглядає віддати на аутсорсинг такі завдання: 1. створення систем кібер-безпеки та ІТ безпеки; 2. проведення аудиту корпоративної безпеки або окремих напрямків; 3. незалежне консультування з питань корпоративної безпеки; 4. правовий захист бізнесу (залучення адвокатів і юридичних організацій); 5. створення нормативно-правової бази компанії, яка регламентує безпеку компанії; 6. узгоджені з керівником комітету з безпеки взаємодії з державними та правоохоронними органами з питань, що зачіпають безпеку компанії; На внутрішній комітет безпеки рекомендується покласти: 1. узгоджені з аутсорсинговою компанією взаємодії з державними та правоохоронними органами з питань, що зачіпають безпеку компанії; 2. організацію робіт зі створення корпоративної безпеки; 3. здійснення контролю за виконанням нормативно-правової бази компанії, яка регламентує безпеку компанії; 4. координацію дій співробітників і підрозділів компанії з питань забезпечення безпеки; 5. взаємодія з аутсорсинговими організаціями, що представляють послуги з корпоративної безпеки; 6. організацію захисту конфіденційної інформації; 7. поточне обслуговування технічних засобів безпеки та охорони; 8. інформаційно-аналітичну роботу щодо забезпечення безпеки компанії; 9. аналіз фінансової діяльності компанії з метою запобігання і виявлення протиправних дій, що завдають шкоди інтересам компанії (крадіжка, відкати, шахрайство, комерційний підкуп і т.д.); 10. проведення заходів, спрямованих на забезпечення кадрової безпеки компанії; 11. проведення внутрішніх перевірок за фактами вчинення протиправних дій з боку персоналу компанії; 12. консультування і надання рекомендацій керівництву та персоналу компанії з питань забезпечення безпеки. І якщо ви все ще задається питанням: «А чи варто витрачати ресурси на корпоративну безпеку», моя відповідь однозначна: «ЗВИЧАЙНО ВАРТО». І, як сказав більше ста років тому американський дипломат і публіцист Джеймс Рассел Лоуелл, «Невдача - не злочин; злочинно - ставити перед собою цілі нижче своїх можливостей».